курс цб на 22.09:
58.2242
69.2635

SMS-пароли признаны небезопасными в США: что говорят российские эксперты?

27 июля 2016 11:49 Количество просмотров85 просмотров

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации). 

Согласно этому документу NIST использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет — пишет Xakep.ru. 
В частности, в документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). 
Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства». 
Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными. 
Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" — говорится в документе NIST. 
Опасения и выводы NIST относительно небезопасности SMS OTP в полной мере разделяются и российскими специалистами. Так, Павел Есаков, зам. директора по продажам на финансовом рынке компании Computel так прокомментировал информационному порталу PLUSworld.ru выводы, содержащиеся в предварительной версии Digital Authentication Guideline: 
"Собственно, выводы и рекомендации специалистов NIST просто подтверждают тот факт, что с самого начала использования SMS для целей аутентификации эксперты предупреждали о том, что данный механизм изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации. 
Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей: 
• Замена SIM карты с использованием поддельных документов 
• Использование уязвимостей в протоколе OSS-7 
• Переадресация вызовов у оператора мобильной связи 
• Ложные базовые станции 
• Специализированные троянские программы для смартфонов, перехватывающие SMS пароли 
Еще одним методом может считаться взлом шлюза между банком и оператором связи. 
То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации. 
При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов. 
Справедливости ради, надо сказать, что наши банки уже начали борьбу с подменой SIM карт — перед отправкой SMS пароля проверяется IMSI клиента, и если он не совпадает с тем, что был зарегистрирован в базе данных банка, то отправка SMS пароля блокируется. 
Но у ряда операторов мобильной связи данная возможность отсутствует, и остается неясным, как поступать в этом случае, не говоря уже о том, что как будет работать этот механизм в роуминге — абсолютно неясно. 
Очевидно, что широкое использование SMS для целей аутентификации создает существенные риски, и регуляторы вынуждены принимать меры с тем, чтобы по возможности уменьшить масштабы бедствия".
Напомним, что журнал "ПЛАС" в 2014 г. подробно рассматривал риски SMS OTP в материале "Банковская отрасль на пороге выхода из «SMS-тупика»?" 
По материалам Xakep.ru, PLUSworld.ru



В рубриках:
Технологии
Лента новостей
Технологии
Регуляторы ЦБ объявил о начале санации Бинбанка
21 сентября 2017 13:29
Количество просмотров 183 просмотра
Мероприятия Новые разработки на BIS Summit 2017
19 сентября 2017 12:01
Количество просмотров 185 просмотров
Мероприятия II CryptoBazar Pre-ICO Day в Москве
19 сентября 2017 11:01
Количество просмотров 167 просмотров
Банки и МФО Nordea уйдет с российского рынка?
19 сентября 2017 09:31
Количество просмотров 163 просмотра
Регуляторы ЦБ снизил ключевую ставку до 8,5%
15 сентября 2017 13:34
Количество просмотров 341 просмотр
Регуляторы Банкиры будут отвечать имуществом?
15 сентября 2017 10:51
Количество просмотров 211 просмотров
Банки и МФО Куда уходят VIP’ы?
14 сентября 2017 12:24
Количество просмотров 333 просмотра